HOME»情報処理安全確保支援士掲示板»令和5年春午後Ⅱ問1設問2(3)
投稿する
もっとシンプルに考えるべきです。
本設問はDASTツールの動作についてです。
DASTツールはインプットとして渡した値が、アウトプットとしてどう返ってくるかを
検査します。
入力したパラメータがエスケープされずにそのまま返ってきたらNGです。
入力したパラメータが正しくエスケープされて返ってきたらOKです。
例として「アンケート入力2」について考えてみます。
「アンケート入力2」画面では、商品の感想としてtextキーワードをWebサーバへ
引き渡します。
引き渡したtextキーワードは直後の「アンケート確認」画面でチェックすることが
できます。
まとめると、
・「アンケート画面2」でのチェック項目:textパラメータ
・直後の「アンケート確認」でチェック可能
となります。
しかしこれとは別に
・「アンケート画面1」でのチェック項目:last_nameパラメータ,first_namパラメータ
・直後の画面は「アンケート2」画面のため、引き渡したした値が返ってこないため
チェック不可
・そのため、「アンケート画面1」のチェック対象は拡張機能を利用し、2画面先の
「アンケート確認」画面をチェックするようにする
となります。
苦言を呈することとなり恐縮ですが、IPAの午後問はIPAの解答が常に正です。
過去問を解く&理解するということは、IPAの正答にいかに近づけるかの作業になります。
スレ主様はここで個人の主観を入れて、IPAとの正答との違いを考えてしまっております。
ストレートに言えば「個人的に~と思う」というのは、午後問演習において回り道と
なるだけで、避けたほうがよいです。
»[1383] 令和5年秋 午後 問一 投稿数:2
»[1382] 令和元年秋 午後1 問1 設問4 投稿数:5
令和5年春午後Ⅱ問1設問2(3) [1385]
太郎さん(No.1)
この度はご迷惑をおかけしすみませんでした。再三で失礼いたします。
標題について、(2-3) 診断対象URLの拡張機能を使って登録する理由がよくわかってないです。(2-1)診断対象URLの自動登録機能でアンケート確認のURLも登録できてしまうのではないかと思ってしまいます。ご教示いただけますと幸いです。
標題について、(2-3) 診断対象URLの拡張機能を使って登録する理由がよくわかってないです。(2-1)診断対象URLの自動登録機能でアンケート確認のURLも登録できてしまうのではないかと思ってしまいます。ご教示いただけますと幸いです。
2024.03.03 10:12
pixさん(No.2)
★SC ダイヤモンドマイスター
本質問と同様の質問が過去以下のURLでありました。
本設問の解説はかなり複雑になります。
以下過去スレッドのNo.2を参照してください。
https://www.sc-siken.com/bbs/1175.html
[1175] 令和5年春午後Ⅱ問1設問2(3)
本設問の解説はかなり複雑になります。
以下過去スレッドのNo.2を参照してください。
https://www.sc-siken.com/bbs/1175.html
[1175] 令和5年春午後Ⅱ問1設問2(3)
2024.03.03 12:55
太郎さん(No.3)
ご回答ありがとうございます。上記過去スレッドについて、No,2を含めすべて拝見させていただきました。No,2について、なるほどとともう場面もあれば手詰まってしまう箇所もあり、例えば以下について、いまいちよくわかってないです。
【入力:アンケート入力1からアンケート入力2に遷移するURL】->【出力:アンケート入力2】について、アンケート入力2だけでみると、アンケート入力1の入力結果は関係ない(入力1の結果はアンケート入力2では表示されず、アンケート確認で表示されるため)と思ったので、意図した結果が得られるのではと思いました。
逆に【入力:アンケート入力2からアンケート確認に遷移するURL】->【出力:アンケート確認】では、アンケート確認の画面では、アンケート入力1とアンケート入力2の両方の入力内容が必要なため、こちらのほうが意図した結果が得られないのではと思いました。
私の考え方自体が誤っている気がしたので、ご教示いただきたいのですが、可能でしょうか。
>しかし、
>・検査対象URLに「アンケート入力1からアンケート入力2に遷移するURL」を設定した場合
> 【入力:アンケート入力1からアンケート入力2に遷移するURL】
> ->【出力:アンケート入力2】が比較・検査される
>これは意図した結果が得られません。なぜなら、
>「アンケート入力1」->「アンケート入力2」に画面遷移しただけでは、まだ
>アンケート項目の入力が全て完了していないからです。
>【入力:アンケート入力1からアンケート入力2に遷移するURL】の結果が出力されるのは
>【出力:アンケート確認】まで画面が遷移しないとだからです。
【入力:アンケート入力1からアンケート入力2に遷移するURL】->【出力:アンケート入力2】について、アンケート入力2だけでみると、アンケート入力1の入力結果は関係ない(入力1の結果はアンケート入力2では表示されず、アンケート確認で表示されるため)と思ったので、意図した結果が得られるのではと思いました。
逆に【入力:アンケート入力2からアンケート確認に遷移するURL】->【出力:アンケート確認】では、アンケート確認の画面では、アンケート入力1とアンケート入力2の両方の入力内容が必要なため、こちらのほうが意図した結果が得られないのではと思いました。
私の考え方自体が誤っている気がしたので、ご教示いただきたいのですが、可能でしょうか。
2024.03.03 19:28
pixさん(No.4)
★SC ダイヤモンドマイスター
>私の考え方自体が誤っている気がしたので、ご教示いただきたいのですが、
>可能でしょうか。
もっとシンプルに考えるべきです。
本設問はDASTツールの動作についてです。
DASTツールはインプットとして渡した値が、アウトプットとしてどう返ってくるかを
検査します。
入力したパラメータがエスケープされずにそのまま返ってきたらNGです。
入力したパラメータが正しくエスケープされて返ってきたらOKです。
例として「アンケート入力2」について考えてみます。
「アンケート入力2」画面では、商品の感想としてtextキーワードをWebサーバへ
引き渡します。
引き渡したtextキーワードは直後の「アンケート確認」画面でチェックすることが
できます。
まとめると、
・「アンケート画面2」でのチェック項目:textパラメータ
・直後の「アンケート確認」でチェック可能
となります。
しかしこれとは別に
・「アンケート画面1」でのチェック項目:last_nameパラメータ,first_namパラメータ
・直後の画面は「アンケート2」画面のため、引き渡したした値が返ってこないため
チェック不可
・そのため、「アンケート画面1」のチェック対象は拡張機能を利用し、2画面先の
「アンケート確認」画面をチェックするようにする
となります。
苦言を呈することとなり恐縮ですが、IPAの午後問はIPAの解答が常に正です。
過去問を解く&理解するということは、IPAの正答にいかに近づけるかの作業になります。
スレ主様はここで個人の主観を入れて、IPAとの正答との違いを考えてしまっております。
ストレートに言えば「個人的に~と思う」というのは、午後問演習において回り道と
なるだけで、避けたほうがよいです。
2024.03.03 20:26
太郎さん(No.5)
ご回答ありがとうございます。
直後の画面でチェック可能か(入力された値が返ってくるか)で考えるというのが、しっくりきました。例含めしっくりきました。
また、IPAの解答にいかに近づけるよう演習するほうが近道の旨承知しました。
>入力したパラメータがエスケープされずにそのまま返ってきたらNGです。
>入力したパラメータが正しくエスケープされて返ってきたらOKです
直後の画面でチェック可能か(入力された値が返ってくるか)で考えるというのが、しっくりきました。例含めしっくりきました。
また、IPAの解答にいかに近づけるよう演習するほうが近道の旨承知しました。
2024.03.04 13:54
その他のスレッド
»[1384] キャッシュDNSサーバ?DNSキャッシュサーバ? 投稿数:3»[1383] 令和5年秋 午後 問一 投稿数:2
»[1382] 令和元年秋 午後1 問1 設問4 投稿数:5